
Une hackeuse éthique a identifié une faille critique via la plateforme de la FIFA dédiée aux agents des joueurs lui permettant d’accéder, sans autorisation, à l’ensemble des flux RTMP (flux streaming audio / vidéo) des matchs de la Coupe du Monde de Football 2026.
Comment ? Il a suffit à notre hackeuse de s’inscrire à agents.fifa.org, la plateforme pour s’enregistrer en tant qu’agent de joueur. La FIFA enregistre ensuite son compte dans son tenant Microsoft Entra (ex Microsoft Azure AD). Sans authentification ni vérification côté serveur, le hackeur a pu accéder à la plateforme officielle de diffusion des matches, avec les droits pour démarrer, modifier ou arrêter la diffusion de n’importe quel match.
Ce n’était pas un environnement de développement. Ce n’étaient pas des données de test. C’était le panneau de gestion du streaming en production pour la Coupe du Monde de la FIFA 2026. Chaque match. Chaque angle de caméra. Chaque URL d’ingestion RTMP. Chaque clé de flux.
BobDaHacker
Ce n’était pas seulement un accès en lecture. Le panneau de gestion du streaming offrait un contrôle total. Démarrer, arrêter, planifier. Pour chaque match. Chaque angle de caméra.
Un clic. C’est tout ce qu’il aurait fallu pour couper un flux en direct de la Coupe du Monde.
Le panneau de gestion du streaming n’était pas la seule chose exposée. Son compte NO_ROLES avait accès à l’ensemble de la plateforme.
Compétitions, Matchs, Équipes, Outils, Plateforme d’échange, Tableau de bord d’analyse, système d’information des commentateurs, FIFA AI Pro, Admin. Tout était accessible.
La plateforme disposait également d’un tableau de bord complet pour les matchs en direct, avec un lecteur vidéo intégré, une chronologie des événements en temps réel et les données officielles des matchs.
Toujours depuis son compte NO_ROLES, notre hackeur pouvait accéder à l’onglet Gestion sur fdp.fifa.org, lui permettant d’effectuer des opérations en écriture. Et le backend les accepte… C’est à dire qu’il aurait pu écrire n’importe quelle information, ou éléments autobiographique d’un joueur, qui aurait alors été lu en direct par les commentateurs du monde entier.
Quand un commentateur dit « Fun fact : Enner Valencia, à 36 ans et 222 jours, est le joueur de champ le plus âgé à avoir joué un match de Coupe du Monde avec l'Équateur », c’est de là que ça vient. Mon compte avait accès à toutes les notes éditoriales, à tous les kits de statistiques pré-match, à tous les points de discussion préparés pour chaque rencontre.
BobDaHacker
La hackeuse a découvert cette faille de configuration mi juin, soit pendant la Coupe du Monde. Les matchs se déroulaient. Les URLs RTMP étaient actives. Les clés de flux étaient exposées. Et de manière très surprenante pour une organisation de cette taille, la FIFA n’a ni programme de bug bounty, ni fichier security.txt, ni contact sécurité publié.
L’experte en sécurité liste alors l’ensemble des initiatives pour tenter de contacter la FIFA afin de corriger la faille : emails, whatsapp, téléphone, contact avec les partenaires technologiques… et même le CISA et le FBI.
Le lendemain, la FIFA corrige finalement la faille, mais sans aucune réponse donnée au hackeur. Ni confirmation de la réception du rapport, ni remerciement … quelle ingratitude.
Voici les détails techniques partagés par la hackeuse :
Tout se résume à une seule erreur d’architecture : une autorisation gérée côté client, sans application côté serveur.
Les applications internes de la FIFA utilisent Microsoft Entra pour l’authentification et le contrôle d’accès basé sur les rôles. Les interfaces côté client (Angular/React/Vue) vérifient les revendications de rôle dans le token JWT et affichent en conséquence des pages d’accès refusé. Mais les API backend font confiance à tout membre authentifié du tenant et fournissent les données sans tenir compte des rôles.
La chaîne d’attaque :
Ce schéma a touché au moins :
Et potentiellement d’autres applications utilisant le même tenant.
Cette faille nous montre que nulle organisation n’est à l’abri d’un piratage. La FIFA peut s’estimer chanceuse d’être tombée sur un hackeur éthique, car l’impact d’un EXPLOIT aurait pu être planétaire (voir la cyberattaque ayant touchée TV5 Monde).
Illustration by Rose Wong
Une fois par mois, on décrypte l’actu Tech & Cyber.
Saisissez votre email